风险管理中的风险场景

 赵立军 2024-10-28 

概述

风险管理中的风险场景

2022年10月,国际标准化组织ISO发布了ISO/IEC 27005:2022《信息安全 网络安全和隐私保护 信息安全风险管理指南》。该标准中,增加了一个新的术语:“风险场景(risk scenario)”,并且在后续的条款中多次引用。那么,什么是风险场景?为什么新增风险场景?风险场景如何编写?本文就这些问题对风险管理中的风险场景谈谈笔者个人的看法。


01  风险场景的定义和使用


在风险管理中,风险场景是指可能发生并影响企业实现其经营目标的一系列事件或情况。这些场景通常涉及不确定性,并且可能导致正面或负面的影响。风险场景的概念出现在很多风险框架中。例如,国际信息系统审计协会(ISACA)的风险IT [1]、美国国家标准与技术研究院(NIST)风险管理框架RMF[2]、美国反虚假财务报告委员会下属发起人委员会(COSO)、企业风险管理ERM等,都涉及到风险场景。ISO/IEC 27005将风险情景定义为“由最初的起因导致不期望后果的事态序列或组合”。从定义可以看出,风险场景由起因和事态两部分构成。风险场景定义之后,ISO ISO/IEC 27005分别在“信息安全管理循环”、“风险识别“、“信息安全风险分析”、“选择适合的信息安全风险处置选项”、“监视和评审”和附录中均使用了风险场景的概念,特别是附录中添加了大量对风险场景的描述。可见,对于ISO/IEC 27005风险场景的理解非常重要。只有正确、全面理解风险场景,才能对新版的ISO/IEC 27005有更为清晰的认识,更好地指导风险管理工作的开展。

02  风险场景的目的

通常,在风险框架中,风险场景的目的一是帮助决策者理解不利事件是如何影响组织战略目标的。二是构建风险场景,为进行下一步的风险评估提供输入。在ISO/IEC 27005标准中,风险场景与风险评估和风险处置密切相关。风险场景必须清晰定义哪些因素会导致不利事件频繁发生以及产生后产生的严重后果,并对这些因素进行分解。

03  风险场景的编写

风险场景对风险评估和风险处置非常重要,必须对风险场景进行编写或表述。风险场景的编写通常用叙述性的语言,有多种不同的格式,例如:

(1)国际信息系统审计协会(ISACA)使用的风险场景编写格式:由[原因]引起的[对目标有影响的事件]导致了[后果]
(2)OpenFAIR(The Open Group, 领导厂商中立的开放的技术标准和认证的开发)使用的风险场景编写格式是:[威胁发起者]通过(可选)[方法]对[资产]造成了[影响]

两种场景编写格式大同小异,但都覆盖了ISO/IEC 27005中所描述的起因和事态两部分内容。

在ISO/IEC 27005中,风险识别提出了两种方法,即基于资产的方法和基于事态的方法,这两种方法都可以形成风险场景。可以考虑采用下图来描述风险场景,由五个部分组成:发起人、威胁类型、事态、资产/资源和时间。
风险场景描述

在ISO/IEC 27005中引入风险场景的概念,为组织和相关方理解是什么原因导致了风险的发生,如何在组织内外部环境不断变化中开展风险管理,起到积极、基础和重要的作用。

参考文献
[1] https://www.isaca.org/resources/it-risk
[2]https://csrc.nist.gov/projects/risk-management/about-rmf
[3] https://www.coso.org/pages/erm.aspx


——CISAW 风险管理认证方向——

信息安全保障人员认证(CISAW)风险管理方向是中国网络安全审查认证和市场监管大数据中心针对网络与信息安全风险管理领域的中高级专业技术人员和管理人员开展的人员能力认证。通过风险管理方向认证,证明持证人员满足《信息安全保障人员认证准则》的要求,具备网络与信息安全风险管理领域的专业知识和技能。CISAW风险管理方向综合考查认证申请人员在网络与信息安全风险管理领域对风险管理标准、风险管理原则、框架和过程(包括环境建立、风险识别、风险分析、风险评价和风险处置)等知识的掌握程度,运用风险管理方法解决实际问题的技术水平。

 证书咨询

 电话咨询  在线咨询  预约报名